据英国《卫报》报道，印度上月推出指纹支付计划，协助民众摆脱现金交易。这种指纹支付系统与印度的“生物识别数据库”相连，登记过指纹数据的印度民众只需要伸一下手指，就能完成支付——至少理论上是这样。但与此同时，印度民众却担心这一举措将威胁个人隐私安全。印正努力建成 “数字印度”，而长期以来现金为主要交易手段也将变成以信用卡和借记卡为主。这会让更多民众享受数字金融服务。 由于缺乏个人隐私或数据保护法，印度企业使用生物数据管理不够正规，这一举动也因此引发了印度民众对于个人隐私安全的担忧。人们担心私营公司得到诸如收入记录、医疗…

Node.js爆出反序列化远程代码执行漏洞，该漏洞详情如下： 1、综述 Node.js是一个Javascript运行环境(runtime)。实际上它是对Google V8引擎进行了封装。V8引擎执行Javascript的速度非常快，性能非常好。Node.js对一些特殊用例进行了优化，提供了替代的API，使得V8在非浏览器环境下运行得更好。Node.js存在反序列化远程代码执行漏洞，Node.js的node-serialize库中存在一个漏洞，该漏洞通过传输JavaScript IIFE，利用恶意代码（未信任数据）达…

不管是哪一个桌面系统，都会存在着一些漏洞，因此一旦发现这些问题开发者都会在第一时间进行修复，然而有的时候这些漏洞不一定由开发者发现，而是第三方提供，如果没有重视的话，就可能会导致该漏洞被公布。近日有媒体报道，有安全专家发现系统漏洞之后，向微软发布警告3个月之后，微软至今没有修复Windows Server的严重漏洞而惹怒这位安全专家！ 为此，这位发现该漏洞的安全专家将这个漏洞分享到GitHub上，导致美国计算机应急响应小组（US CERT）警告服务器管理员阻止出境的SMB连接。这个漏洞是在处理SMB流量时候的内存损…

NBCNews报道，来自美国情报界的消息称，俄罗斯正在考虑将前NSA泄密者 Edward Snowden 作为礼物送给美国总统特朗普——特朗普曾称 Snowden 是间谍和叛徒，应当被处决。Snowden的美国公民自由联盟律师 Ben Wizner 表示他们不知道任何将 Snowden 送回美国的计划，表示没有看到任何迹象，因此没有理由担心。Snowden 通过 Twitter 发表评论，认为这一消息证明他没有与俄罗斯政府合作，他不是俄罗斯的间谍，没有国家会卖掉自己的间谍。白宫拒绝对此消息发表评论，但美国司法部表示…

Google 发出警告，国家支持的黑客正试图窃取知名记者的账号密码。收到警告的记者包括了纽约杂志的 Jonathan Chait ，大西洋月刊多年来一直报道俄罗斯新闻的 Julia Ioffe ，Vox的创始人Ezra Klein，CNN 资深媒体记者 Brian Stelter，纽约时报记者 David Sanger，时报专栏作家/诺贝尔经济学家得主 Paul Krugman，雅虎华盛顿的 Garance Franke-Ruta 等等，收到警告的最晚时间是几天前，最早是几个月前。POLITICO报道称，黑客被怀疑…

打印机是人们在生活和办公中经常使用的电子设备，家庭、办公室、公司、政府单位、医院、学校……，几乎每一个单位和机构都会使用打印机。从安全的角度来看，由于打印设备部署于内部网络，通过它们可以直接访问到机密报告、合同或病历等敏感信息，比较关键。近期，来自德国鲁尔大学的安全研究人员对多种品牌型号的网络打印机开展了一项深入的安全研究，以下为他们对这项研究的相关概述和结果分析。 在这篇文章中，我们总结了基于网络打印机的攻击场景概述，同时展示了攻击者可以如何入侵一台存在漏洞的打印机。通过对20种不同品牌型号的打印机进行测试后发现…

Web防火墙是信息安全的第一道防线。随着网络技术的快速更新，新的黑客技术也层出不穷，为传统规则防火墙带来了挑战。传统web入侵检测技术通过维护规则集对入侵访问进行拦截。一方面，硬规则在灵活的黑客面前，很容易被绕过，且基于以往知识的规则集难以应对0day攻击；另一方面，攻防对抗水涨船高，防守方规则的构造和维护门槛高、成本大。 基于机器学习技术的新一代web入侵检测技术有望弥补传统规则集方法的不足，为web对抗的防守端带来新的发展和突破。机器学习方法能够基于大量数据进行自动化学习和训练，已经在图像、语音、自然语言处理等…

随着网络技术的不断发展，安全厂商也如雨后春笋般涌现出来。从云主机、电子邮件服务器和终端设备的安全，到恶意软件、网络威胁、网络钓鱼以及DDoS攻击保护，几乎各种与互联网以及计算机有关的行业内都有数百家相关的安全厂商正在为他们各自所处的领域而战斗着。 虽然现在针对不同的服务和设备都有着大量的安全解决方案，但问题就在于这些方案并不具备广泛的适用性。也就是说，这个方案可能在你的身上可以完美发挥其功效，但在我身上则毫无实用性，这也给各个安全团队的工作带来了非常大的麻烦。与此同时，网络技术无时无刻都处于不断发展的状态，再加上某…

E安全2月11日讯 近日，一款复杂的“无文件”恶意软件感染了40个国家100多家银行和金融机构，这种恶意软件几乎检测不到。 卡巴斯基实验室的安全专家发现了该威胁，攻击者以许多行业的组织机构为目标。40个国家的银行、电信公司和政府机构被一种“无文件”恶意软件感染，该恶意软件寄居在受感染计算机的内存，不将任何文件或文件复制到硬盘。 研究人员发现，这款恶意软件已经感染了140个企业网络，大多数受害对象位于美国、法国、厄瓜多尔、肯尼亚、英国和俄罗斯。 研究人员认为，受害者可能更多，因为这种威胁几乎检测不到。恶意代码直接注入…

E安全2月11日讯 黑客正在黑市售卖UPI.com数据库，其包含83000个UPI.com的账户信息。UPI.com为美国合众国际社（United Press International，UPI）的网站。UPI是美国第二大通讯社，总部设在纽约，被誉为世界四大通讯社之一，为世界范围内的媒体，企业，政府和研究者提供重要信息。 UPI周二通知了电子邮件订阅用户，并撤下登录页面。 这名黑客在暗网上出售UPI数据库，售价0.09比特币，包含电子邮箱、姓名和密码。密码为MD5哈希密码。MD5密码目前被公认已过时，其存在重大的漏…

在刚刚过去的2016年，勒索敲诈类型的恶意攻击越来越频繁和复杂，因为网络犯罪份子从中看到了赚钱的机会。位于英国的技术服务集团今天发布了一张信息图，洞察了勒索软件的肆虐情况。根据数据显示，2016年勒索类型的攻击增长了3500%，在2015年12月至2016年4月勒索软件的数量增加了600%。 全球41%的企业遭受勒索软件的攻击，不过在英国地区这个数据更高，为54%。勒索软件占企业攻击的四分之一，而更令人担忧的是37%的受害者都选择支付了赎款。 电子邮件依然是最常见的分发方法，占比为59%，其次是网站、社交媒体和受感…

不明IP成功黑入台湾数十个驻外馆处领务信箱，可能使1.5万人次的个人资料被窃取。台湾外事部门为此道歉。 台湾人出境登录系统须填写中英文姓名、身份证号码、“护照”号码和手机及紧急联络人等信息。据台湾《联合报》9日报道，台外事部门日前进行安全查核时，发现外馆领务电子信箱设定的密码被破解，不明人士直接登入服务器，进入数十个外馆领务电子信箱近3个月，1万多人次的个人资料可能遭窃取。“行政院”资安处处长简宏伟称，目前尚无法断定是有计划或特定目的的黑客攻击事件，还是单一个案。官员坦承，外馆单位的密码设定安全等级不够高，导致密码…

E安全2月12日讯  美国信息安全咨询公司IANS Research开发出一套模型，旨在帮助首席信息安全官维持其职业发展前景：具体而言，即“跨越时间与空间实现关键性资产保护。” 这套名为CISO Impact的模型基于两项基础性能力：技术卓越性与组织参与性。前者涉及从访问控制到事件响应的八个领域; 而后者则包括从业务信息安全到控制业务部门可承担风险的七项因素。 这套模型结合有来自1200多位高水平CISO与信息安全团队的洞察结论，IANS对相关信息加以整理并汇总出这份《高水平CISO获得成功的五个秘密》报告。 IA…

0x00 前言 二进制分析框架提供给我们强大的自动化分析的方法。本文中，我们将看下Angr，一个python实现的用于静态和动态分析的分析框架。它基于Valgrind的VEX中间层语言。使用一个精简的加载器“CLE Loads Everything”，这个加载器不是完全精确的，但是能够加载ELF/ARM的可执行文件，因此对于处理Android的原生库有帮助。 我们的目标程序是一个授权验证程序。虽然在应用商店中不会总是发现类似的东西，但是用来描述基本的符号分析是足够的。您可以在混淆的Android二进制文件中以许多创…

Ticketbleed是F5 BIG-IP设备的TLS / SSL堆栈中的软件漏洞，允许远程攻击者一次提取高达31字节的未初始化内存。 这部分内存中可能包含来自其他连接的密钥或敏感数据。 它在情形和影响类似于Heartbleed漏洞。它的不同之处在于，它一次暴露31个字节，而不是64k，需要多次轮询执行攻击，并且它影响专有的F5 TLS堆栈，而不是OpenSSL。 测试 你可以在下面的网址中进行测试服务器是否受Ticketbleed影响（eg: example.com:443） https://filippo.io…

据外媒 softpedia 报道，早些时候 Steam 游戏平台玩家被警告：暂不要点击查看个人主页，该页面存在漏洞可被攻击者恶意利用，进行网络钓鱼、盗用 Steam 账户余额买东西套现。幸运的是，目前官方已经修补了这个漏洞。 起初，有粉丝在 reddit 论坛上提出该漏洞利用方式，这是一个基于 Steam 配置文件的注入漏洞。此漏洞影响所有浏览器的 Steam 桌面和移动版本。建议用户不要去点击他人 Steam 个人主页链接并在浏览器上禁用 JavaScript 。 当用户访问其他 Steam 用户的个人资料页面查…

美国国土安全部长 John Kelly 周二表示，美国大使馆可能会在将来要求签证申请人提供社交媒体帐户及密码。 Kelly 称此举可加强背景审查，筛选出可能对安全构成威胁的人，尤其是七个来自穆斯林国家的游客：伊朗，伊拉克，利比亚，索马里，苏丹，叙利亚和也门。这些国家对人员的背景审查很松，美国希望通过此举增加些额外的筛查，了解申请人的社交状况。此举对真正来美国旅游的人来说，他们会积极配合工作。 此举也和此前特朗普 1 月 27 日发布的移民和难民禁令有关。 本文由 HackerNews.cc 翻译整理，封面来源于网络…

安全公司 Dr.Web 发现一种 Windows 木马 Trojan.Mirai.1 。黑客正在使用它传播恶意软件 Mirai、感染物联网设备进行大规模 DDoS 攻击。 Windows 木马传播恶意软件 Mirai 该 Windows 木马被称为 Trojan.Mirai.1 ，其最重要的功能就是帮助 Mirai 感染更多的设备。木马使用 C ++ 语言编写，用于扫描指定范围 IP 地址的 TCP 端口，以便执行命令、传播恶意软件。木马启动后将连接命令和控制服务器下载配置文件（ wpd.dat ）、提取 IP 地…

某流行毒品和被盗信用卡交易黑市刚刚弄了个安全漏洞奖励项目，给报告漏洞的黑客支付报酬。该“Hansa”黑市于上周启动了奖励项目，邀请安全研究人员揭露可能泄露用户、供货商或管理员的漏洞，金额高至10比特币（约合1万美元）。 这点钱，比起黑客通过传统方式利用漏洞进行勒索什么的，当然赚得少多了。2015年被捕的非法网络黑市“丝路”老板罗斯·乌布里奇，就不得不支付能对该网站发起DDoS攻击的黑客每周$50,000的薪水。据称，他还支付了暗地里威胁要曝光他身份的黑客大量现金。 在Hansa网，不能用于揭露用户、供货商和管理员身…

受最新WordPress的漏洞影响超过67000个网站被攻击 如果你的网站使用的是WordPress，并且没有及时更新官方上周发布的补丁，升级到v4.7.2版本，那么你的网站很有可能受到这4个黑客组织的攻击。 据国外Web安全公司Sucuri表示，自上周一该漏洞细节公开后，攻击范围不断扩大，最近每天趋于3000次。 随着时间的推移利用REST API漏洞尝试次数（来源：Sucuri） 攻击者正在利用WordPress的REST API的漏洞，该漏洞由WordPress团队两个星期前修复并更新补丁，他们于上周一公开了…

安全研究人员警告，世界各地的一百多家银行和金融机构感染了一种危险的复杂的恶意软件，几乎检测不到。俄罗斯安全公司卡巴斯基实验室周三详细介绍了他们的一些调查结果，表明一个或多个黑客群体针对至少140家银行和组织进行了这种攻击，旨在盗取凭证和金钱。 这种恶意软件特别狡猾，因为它属于一类“无文件”软件攻击程序，它完全存在于设备的内存中，几乎没有任何痕迹。这种类型的恶意软件不是全新的，但它的日益普及让安全研究人员和网络管理员非常担心，这种类型的恶意软件越来越受到网络犯罪分子的欢迎。 据报告，攻击者使用恶意软件监视受感染机器，…

N-day漏洞收购计划问世 成立于2010年的Zimperium是一家致力于开发和设计全球顶尖移动安全技术的以色列信息安全公司，就在几天之前，该公司正式宣布他们将开始收购Android平台和iOS平台的移动端漏洞，而且这些漏洞必须是已经得到修复了的漏洞。就此看来，0-day漏洞并不是他们所感兴趣的内容，他们真正关心的是那些N-day漏洞的利用代码。 Zimperium在当地时间2月1日所举办的新闻发布会上表示，公司将在2017年提供150万美元的总预算来收购Google和苹果移动系统的N-day漏洞利用代码及利用方…

安全众测平台HackerOne本周三宣布获得4000万美元C轮融资，HackerOne表示他们会把资金用于技术研发、业务扩展、壮大白帽子社区，计划白帽子数量将超过10万人。 HackerOne简介 HackerOne是一家创业于美国旧金山的漏洞众测公司，它提供了一个软件即服务的平台，是最早接受并利用黑客开展商业模式的公司之一。HackerOne平台能够给企业、机构提供技术和自动化支持，帮助他们运营、管理漏洞赏金项目。 公司由Alex Rice担任公司CTO，Merijn Terheggen任CEO，Jobert A…

英国有两所学校正在测试随身相机的用途，让老师在教室里戴着中随身相机，来消除学生在课堂中的不好行为。这个试验将持续三个月，参与这项试验的刑事司法研究者Tom Ellis称：“这种相机不是一直开着的，它只会在合法、合适以及必要时才会打开。它不是一种监控学生的设备，而是只有当存在可感知的威胁时在会使用它。”目前这两所学校的名称还未向外公布，目的是为了保证试验不受干扰。但当学校的老师准备使用这种相机拍摄时，学生会被告知。 所有的录像资料会被加密，并储存到一个类似于英国警方所使用的随身相机的云系统内。英国信息委员会称，只要学…

E安全2月9日讯 RSA安全大会备受瞩目，历来被视为网络安全专家的交流平台，新兴安全技术和产品的展示舞台。RSA 2017安全大会将在下周拉开帷幕，管理团队预计今年的参会人员经将超过5万人。RSA 2017安全大会将聚焦下一代端点安全、套件、EDR和服务。 随着各种网络威胁的不断出现，加上数字改革和扩展性需求，网络安全技术也需要创新和变革。RSA 2017还将继续关注端点安全。 需要明确的是，端点安全不应再被定义为反病毒软件。这样讲并非不尊重反病毒软件，但端点安全目前贯穿了高级防护技术、端点安全控制和先进的检测/响…